Age-related decline in VO 2peak – impact of study design

As informações presentes nos fluxos dos processos da GCS da Saúde são críticas, pois trata-se, dentre outras informações, da privacidade de seus pacientes, mas nem todos os funcionários percebem a necessidade de segurança da mesma forma (HEDSTRÖM et al., 2011; MAGNAGNAGNO, 2015). O risco também existe para organizações parceiras, pois a exemplo dos fornecedores, poderiam ser lesados de alguma forma pela quebra de sigilo de negociações, ou mesmo receber ordens de compras inexistentes, que acarretaria em produção de equipamentos indesejados (WARREN e HUTCHINSON, 2000; GORDON et al., 2015).

Organizações de assistência a saúde, estão começando a medir os impactos sobre problemas com a Segurança da Informação (HUANG et al., 2014). Na maioria das vezes, quando é necessário escolher entre proteger as informações do paciente e a prestação da assistência a esse paciente, normalmente se opta pela segunda opção (HEDSTRÖM et al., 2011). Quanto aos médicos, mesmo aceitando a responsabilidade de manter a confidencialidade dos dados dos pacientes, não tem a mesma percepção de responsabilidade de segurança quanto aos registros dentro dos sistemas do hospital (GAUNT, 2000). O que pode causar estranheza, pois esses registros estão diretamente relacionados a eles, são eles os principais profissionais de assistência e quem adiciona essas informações nos sistemas para posterior acesso a estas informações (GAUNT, 2000).

Consequência direta de qualquer investimentos é um acréscimo dos custos para o atendimento, mas é necessário verificar os possíveis investimentos quanto a vantagens que trarão para os hospitais (CHEN et al., 2013). Com a gestão da informação, por exemplo, é necessário buscar um sistema que inclua segurança para a organização de forma adequada aos riscos que possam correr (LANDOLT et al., 2012). Mas pra isso, estes riscos precisam ser levantados e analisados para que se chegue a medidas que possam mitigar os riscos dentro da capacidade da organização (LANDOLT et al., 2012). As organizações tendem a buscar, de maneira isolada, formas de se proteger e arcam, muitas vezes, com elevados valores financeiros (HUANG et al., 2014). As organizações menores acabam focando na proteção apenas das informações de pacientes, mas grandes organizações, como hospitais, deveriam ter um investimento mais abrangente, pois a possibilidade de prejuízo em caso de falhas ou ataques às informações pode ser muito significativo (HUANG et al., 2014).

O balanceamento entre estes dois itens da avaliação de segurança (proteger e custo da proteção) é uma tarefa difícil (WARREN e HUTCHINSON, 2000). Apesar do extensivo número de pesquisas relacionadas à Segurança da Informação e as vulnerabilidades presentes nas organizações, há carência de estudos que aprofundem questões econômicas de segurança (GORDON e LOEB, 2002). Parte da dificuldade é devido à diversidade das empresas, visto que uma organização financeira precisa ter um cuidado maior com as

informações de clientes e suas contas, e hospitais tem uma preocupação maior quanto à informação dos pacientes (GUPTA et al., 2006; CHEN et al., 2013). Profissionais da saúde, em geral, pedem acesso a todas as informações do paciente para que realizem o atendimento, mesmo que não precisem de todos os dados (GAUNT, 2000). Os sistemas podem bloquear o acesso indevido às informações para garantir a integridade e confidencialidade das informações desse paciente, mas o balanceamento entre esses dois requisitos é o grande desafio (HEDSTRÖM et al., 2011). Se estes sistemas receberem pouca atenção quanto a segurança dessas informações, o problema poderá ser ainda maior do que se não houvesse sistema algum (LANDOLT et al., 2012).

Estudos sobre troca de informações de saúde classificam o investimento em segurança em três categorias: (i) o investimento individual da organização; (ii) a Segurança da Informação compartilhada; e (iii) o risco de propagação de um problema dentro do sistema de comunicação (HUANG et al., 2014). Pela crescente importância da CS e a sistematização da mesma devido às necessidades de mercado, ela torna-se um alvo visado para ataques cibernéticos, aumentando ainda mais o risco de propagação dentro do sistema de comunicação da CS (WARREN e HUTCHINSON, 2000). Isso implica que ações de segurança em CS sejam cada vez mais reforçadas, embora isso também leve a um aumento de custo para a cadeia (GUPTA et al., 2006). Quando organizações parceiras trabalham juntas para proteger suas informações, em geral, além de construírem uma segurança melhor para suas informações, normalmente ainda acabam reduzindo custos para implantar essa segurança (HUANG et al., 2014).

Ações relacionadas a segurança da informação possuem diferentes frentes de ação para isolar vulnerabilidades (GUPTA et al., 2006). Estas ações podem envolver atualização de tecnologia para minimizar vulnerabilidades, onde estendem-se os controles de segurança aos pontos de acessos de médicos e técnicos. Mas as organizações não costumam fazer avaliação e análise de riscos então, não percebem o tamanho do problema que estão deixando descoberto. Seria importante que analisassem os riscos de segurança e um dos guias existentes é a ISO 27000 (GAUNT, 2000; GUPTA et al., 2006; SAMY et al., 2010).

Outras ações estão relacionadas a processos de negócios. Talvez uma das ameaças mais significantes sejam os funcionários. Políticas precisam ser claras e consistentes para não resultar em confusão e causar danos aos pacientes, e precisam de programas de conscientização para que os funcionários não cometam falhas que causem danos aos sistemas de informação (MAGNAGNAGNO, 2015). As organizações da saúde costumam ter termos de responsabilidades para seus funcionários, mas dificilmente fazem uma revisão desses termos de forma periódica, confiando apenas nos contratos e códigos de conduta (GAUNT, 2000; GUPTA et al., 2006).

Assim que uma falha é identificada, ela precisa ser corrigida, evitando a possibilidade de reincidência (BOJANC e JERMAN-BLAŽIČ, 2008). Economicamente, isso pode não ser sempre viável, mas deve-se explorar as possibilidades (GORDON e LOEB, 2002). Vulnerabilidades não tratadas podem ser exploradas resultando em prejuízos para a organização (GUPTA et al., 2006). Estes prejuízos podem não ser restritos ao aspecto financeiro, pois podem comprometer a credibilidade da organização no mercado frente aos seus clientes e fornecedores (WARREN e HUTCHINSON, 2000).

3 MODELO CONCEITUAL DA PESQUISA

Para a construção do modelo foram considerados conteúdos da revisão de literatura, tais como: Segurança da Informação e GCS voltada a área da saúde. A revisão apresenta que na busca por melhores resultados, as organizações passaram a organizar seus processos de maneira transversal e integrada entre organizações parceiras pertencentes a mesma CS (MIN e ZHOU, 2002; BALLOU, 2006). Essa integração inclui um compartilhamento de informações importantes para a CS que necessitam serem seguradas pelas organizações, mas não de forma unitária, mas conjunta dentro da cadeia (GOMES, 2004; GORDON et al., 2015). Mesmo sendo mais complexa, a GCS da Saúde também busca constantemente por oportunidades de melhorias (LEE

et al., 2011; CHEN et al., 2013). Hospitais e parceiros buscam uma relação mais

próxima para aperfeiçoar seus processos e melhorar a performance da CS e assegurar as informações com as quais lidam para o atendimento ao paciente, bem como informações estratégicas para o negócio (MUSTAFFA e POTTER, 2009; LEE et al., 2011; CHEN et al., 2013).

Um modelo de CS para a saúde adaptado para a realidade brasileira, onde Planos de Saúde tem um papel importante, pode ser visualizada pela Figura 3.

Figura 3 – Cadeia de Suprimento da Saúde

Os prestadores de Serviço e Fornecedores, principalmente de Materiais e Medicamentos para o atendimento aos pacientes, por mais que possam existir atravessadores, podem também possuir um canal direto de relacionamento com Hospitais, Clínicas e outros pontos de assistência à saúde (KAZEMZADEH et

al., 2012). Eles fornecem todos os materiais necessários para que as instituições

assistenciais possam efetivamente atender aos pacientes, sejam com produtos cirúrgicos ou medicamentos (BHAKOO e CHAN, 2011). As organizações de atendimento à saúde do paciente, encontram-se mais centralizadas na cadeia, obtendo um contato direto para prestação de serviços, troca de informações e recebimento de pagamento com ele, que é o cliente final da cadeia (BHAKOO e CHAN, 2011; KAZEMZADEH et al., 2012). No Brasil, há uma grande diversidade de Planos de Saúde que intermediam os pagamentos dos procedimentos efetuados em pacientes segurados e estes Planos de Saúde tem uma comunicação muito forte com instituições de assistência à saúde para efetivamente trocar informações e efetuar os pagamentos apropriados (MAGNAGNAGNO, 2015).

Partindo do modelo de CS da Saúde apresentada na Figura 3, busca-se a compreensão das suas ações relacionadas à Segurança da Informação como organizações e como CS. Assim, para auxiliar a busca dos objetivos propostos foi desenvolvido um modelo conceitual, apresentado a seguir pela Figura 4: Figura 4 – Modelo Conceitual

Como visto anteriormente, Cadeias de Suprimentos buscam por uma gestão integrada de seus processo entre as organizações participantes de forma a serem mais colaborativas entre elas e obterem melhor resultados em suas operações, produtos e serviços (GUNASEKARAN e NGAI, 2004; BALLOU, 2006). Com essa premissa, formula-se a primeira proposição:

Proposição 1: As organizações pertencentes a Cadeia de Suprimento são integradas e colaborativas.

Diferentes e complexos sistemas para o controle de todas as atividades organizacionais, incluindo aspectos de CS, são constantemente adotadas pelas organizações (GUPTA et al., 2006). Isso leva ao aumento na necessidade de proteger adequadamente as informações trafegadas nestes sistemas, para assegurar o sucesso da organização (GORDON et al., 2015).

Ataques cibernéticos ocorrem em vulnerabilidades de sistemas, hardware ou pessoas (CERT.BR, 2015). As informações são a base para a tomada de decisão nas organizações, assim sendo, é de extrema importância que sejam íntegras e estejam disponíveis quando necessário, além de ficarem fora do alcance de pessoas não autorizadas (BRAGANÇA, 2010). Os ataques tendem a atingir, direta ou indiretamente estas informações, que sejam importantes para as organizações, pois são elas que trazem algum benefício competitivo para a organização (BOJANC e JERMAN-_{BLAŽIČ, 2008). Na CS da Saúde existem} informações de fornecedores, pacientes, valores de transações, dados de entrega, entre outros (BALLOU, 2006; CHEN et al., 2013). Cada uma destas informações tem uma importância específica e um risco de dano em cada organização (WARREN e HUTCHINSON, 2000; GORDON et al., 2015). Com isto, apresentam-se a Proposição 2:

Proposição 2: As organizações conhecem as informações críticas a serem protegidas para a organização e para a Cadeia de Suprimento.

Na constante busca por melhores resultados, as organizações possuem diversas métricas para avaliarem seu desempenho (GUNASEKARAN e NGAI,

2004). Essas métricas auxiliam as organizações em suas avaliações individuais, mas também podem ajudar a medir a performance financeira da cadeia da qual fazem parte (SCC, 2010). Em paralelo, existe a preocupação com a proteção de suas informações, como as de pacientes que exigem confidencialidade, pois trata-se de informações delicadas dos mesmos, de seu estado e suas condições. Estas mesmas informações precisam estar sempre disponíveis e corretas para que os médicos possam utilizá-la para o tratamento do paciente (MAGNAGNAGNO, 2015). Sabendo que as organizações podem se tornar alvos de ataques ou mesmo sofrer com falhas internas de segurança, é necessária que elas considerem os riscos de falhas em suas informações ocorrerem e o impacto disso em sua performance financeira. Estas informações poderão ainda, auxiliar as organizações na tomada de decisão sobre as quantias financeiras cabíveis para investir na proteção destas informações (GORDON e LOEB, 2002; BOJANC e JERMAN-BLAŽIČ, 2008). Assim, apresenta-se a Proposição 3: Proposição 3: As organizações possuem métricas dos impactos sobre a organização e sobre a Cadeia de Suprimento em caso de ataques à informações bem sucedidos.

As informações têm um papel importante nas organizações, seja para tomada de decisão ou para desenvolverem produtos ou serviços para seus clientes (GUNASEKARAN e NGAI, 2004). Além de informações estratégicas e financeiras, a CS da Saúde trata com dados de pacientes, os quais deve sempre estar fora do alcance de pessoas não autorizadas e ao mesmo tempo integralmente disponíveis para os prestadores de assistência (BALLOU, 2006; BRAGANÇA, 2010). Estas informações devem ser identificadas e tratadas de forma diferenciada pelas organizações, por isso é necessário que participantes da CS da Saúde possuam ações e investimentos específicos para garantir a segurança de suas informações, bem como as informações que trafegam ao longo da cadeia (BOJANC e JERMAN-BLAŽIČ, 2008; HUANG et al., 2014). Com isso, é apresentada abaixo a Proposição 4:

Proposição 4: Informações críticas para a organização e para a Cadeia de Suprimento recebem investimentos em ações de Segurança da Informação de forma especializada.

Para a realização da verificação de cada uma das proposições acima, será efetuada uma pesquisa qualitativa em organizações pertencentes a CS da Saúde. O detalhamento do método desta pesquisa é apresentado no capítulo a seguir.